Набір положень політики PKI Загальні положення Набір положень - це сукупність положень практики та/або політики PKI, що охоплюють коло стандартних тем для формулювання політики застосування сертифікатів або регламенту. Мал. 14.1 ілюструє орієнтовний список

Сергій Олександрович Петренко, Володимир Анатолійович Курбатов Політики інформаційної

1.4. Як розробити безпекову політику? Перш ніж ми почнемо шукати відповідь на поставлене запитання, трохи поговоримо про проблему довіри.1.4.1. Кому і що довіряти? Від правильного вибору рівня довіри до співробітників залежить успіх чи невдача реалізації політики

Додаток 1 ОЦІНКА СТАНУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ У США На початку 2005 року Інститут комп'ютерної безпеки (Computer Security Institute, CSI) та Група з комп'ютерних вторгнень відділення Федерального бюро розслідувань у Сан-Франциско (San Francisco Federal Bureau of Invest)

Додаток 2 МІЖНАРОДНЕ ОПИТУВАННЯ 2003 РОКУ З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ОГЛЯД РЕЗУЛЬТАТІВ ПО КРАЇНАМ СНД На початку 2004 року компанія «Ернст енд Янг» опублікувала результати свого дослідження стану інформаційної безпеки в СНД (www.eu.com/russia). У цьому дослідженні

Додаток 3 КЕРІВНИЦТВО З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПІДПРИЄМСТВА (Site Security Handbook, RFC 1244) Наводиться у скороченому варіанті, з дозволу доктора фізико-математичних наук, професора В.А Галатенка (автора перекладу оригінального Даний посібникє

Додаток 6 ПРИКЛАДИ МЕТОДИЧНИХ МАТЕРІАЛІВ З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ Інструкція для адміністратора безпеки мережі Адміністратор безпеки мережі компанії X призначається з числа найбільш підготовлених системних адміністраторів, які володіють мережевими

Локальні політикиРозділ Локальні політики містить три політики: Політика аудиту, Призначення прав користувача та Параметри безпеки.? Політика аудиту - дозволяє визначити події, факти походження яких записуватимуться в журнал Безпека

5.2. Місце інформаційної безпеки економічних системв національної безпекикраїни В сучасному світіінформаційна безпека стає життєво необхідною умовоюзабезпечення інтересів людини, суспільства та держави та найважливішим, стрижневим,

Відкладена доставка повідомлень електронної пошти за розкладом; - ведення повнофункціонального архіву електронної пошти. Мал. 18.14 - Вирішення проблем захисту поштової системи Виконання цих вимог забезпечується застосуванням засобів захисту певних механізмів. До таких механізмів можуть належати: 1. Рекурсивна декомпозиція (спеціальний алгоритм, що застосовується для аналізу повідомлень електронної пошти на складові компоненти з подальшим аналізом їхнього вмісту); 2. Евристичне визначення кодувань текстів; 3. Визначення типу файлів із сигнатури; 4. Повнотекстовий пошук архівом електронної пошти тощо. 18.4.3 Політика використання електронної пошти Засіб захисту - система контролю вмісту електронної пошти, сама по собі жодних завдань із безпеки не вирішує. Це лише «машина», яка допомагає людині у вирішенні цієї проблеми. Тому завдання щодо забезпечення безпеки необхідно такій «машині» поставити. Це означає, що має бути вироблений спеціальний набір правил, який надалі буде перекладено мовою машини. Цей набір правил називається "політикою використання електронної пошти". У багатьох організаціях такі правила існують тривалий час. Як і будь-яка обмежувальна міра, вони створюють певні незручності користувачам системи, а якщо користувачеві щось незручно, він або перестає цим користуватися, або намагається обійти перешкоди. Тому такі політики, не підкріплені технічними засобамиконтролю над їх виконанням, поступово втрачають чинність. Програмні системи, орієнтовані на фільтрацію пошти, слід позиціонувати саме як інструмент для впровадження та контролю виконання цих правил. Таким чином, політика використання електронної пошти – це закріплені письмово та доведені до співробітників інструкції та інші документи, що регламентують їхню діяльність та процеси, пов'язані з використанням системи електронної пошти. Дані документи та інструкції мають юридичний статус і, як правило, надаються для ознайомлення співробітникам організації. Політика використання електронної пошти є найважливішим елементом загальнокорпоративної політики інформаційної безпеки та невіддільна від неї. Політика повинна відповідати наступним критеріям: - бути лаконічно викладеною та зрозумілою всім співробітникам компанії, простота написання не повинна призвести до втрати юридичного статусу документа; - виходити із необхідності захисту інформації в процесі економічної діяльності компанії; - бути узгодженою з іншими організаційними політиками компанії (що регламентують фінансову, економічну, юридичну та інші сфери діяльності компанії); - мати законну силу, тобто. політика, як документ, має бути схвалена та підписана всіма посадовими особами керівної ланки компанії, а її виконання має бути детально продумано; - не суперечити федеральним та місцевим законам; - визначати заходи на співробітників, які порушили положення цієї політики; - дотримуватися балансу між ступенем захищеності інформації та продуктивністю діяльності компанії; - Детально визначати заходи щодо забезпечення політики використання електронної пошти у компанії. Політика використання електронної пошти, зазвичай, розглядається з двох сторін - як офіційно оформлений юридичний документ і як матеріал, який описує техніку реалізації політики. Як документ політика повинна включати: - Положення, що електронна пошта є власністю компанії та може бути використана лише з робочою метою. 272 - Вказівка ​​на те, що застосування корпоративної системиелектронної пошти не повинно суперечити законодавству РФ та положенням політики безпеки. - Інструкції та рекомендації щодо використання та зберігання електронної пошти. - Попередження про потенційну відповідальність співробітників компанії за зловживання під час використання електронної пошти в особистих цілях та можливе використанняелектронної пошти у судових та службових розглядах. - Письмове підтвердження того, що співробітники компанії ознайомлені з політикою використання електронної пошти та погоджуються з її положеннями. З технічної точки зору політика встановлює правила використання електронної пошти, тобто визначає наступне: Що проходження яких повідомлень вхідної, вихідної контролюється чи внутрішньої електронної пошти має бути дозволено чи заборонено. На кого Категорії осіб, яким дозволено або заборонено, поширюється надсилати вихідні або отримувати вхідні повідомлення електронної пошти. Як реагує Що потрібно робити з тими чи іншими повідомленнями система електронної пошти, які задовольняють чи не задовольняють критеріям, визначеним правилами використання електронної пошти. 18.4.4 Системи контролю вмісту електронної пошти Впровадження політики використання електронної пошти вимагає від керівництва компанії розуміння, що наявність лише документально оформленої політики не гарантує її виконання. Необхідно створення компанії відповідних умов реалізації цієї політики. При цьому найважливішою умовою є наявність у корпоративної мережіпрограмно-технічних засобів контролю виконання положень та вимог політики. До таких засобів належать системи контролю вмісту електронної пошти. Системи контролю вмісту електронної пошти – це програмне забезпечення, здатне аналізувати зміст листи за різними компонентами та структурою з метою реалізації політики використання електронної пошти. До особливостей цих товарів относятся: 1. Застосування під час аналізу змісту спеціально розробленої політики використання електронних листів. 273 2. Здатність здійснювати «рекурсивну декомпозицію» електронних листів. 3. Можливість розпізнавання реальних форматів файлів незалежно від різних способівїх маскування (спотворення розширення файлів, архівування файлів тощо). 4. Аналіз множини параметрів повідомлення електронної пошти. 5. Ведення архіву електронної пошти 6. Аналіз вмісту електронної пошти та прикріплених файлів на наявність заборонених до використання слів і виразів. Системи контролю електронної пошти крім основного завдання моніторингу поштового трафіку здатні виконувати й інші функції. Практика показала, що в даний час такі системи використовуються як: 1. Кошти управління поштовим потоком. 2. Кошти управління доступом. 3. Засобів адміністрування та зберігання електронної пошти. 4. Засобів аудиту контенту ( найважливішу функціюякого здійснює архів електронної пошти). 5. Основи системи документообігу. 18.4.5 Вимоги до систем контролю вмісту електронної пошти Спектр можливостей усіх категорій систем контролю вмісту електронної пошти досить широкий і суттєво змінюється залежно від виробника. Проте всім системам пред'являються найбільш загальні вимоги, які дозволяють вирішувати завдання, пов'язані з контролем поштового трафіку. Основні вимоги до таких систем - повнота і адекватність 1. Повнота - це здатність систем контролю забезпечити найглибшу перевірку повідомлень електронної пошти. Це передбачає, що фільтрація повинна проводитись по всіх компонентах листа. При цьому жоден із об'єктів, що входять до структури електронного повідомлення, не повинен бути «залишений поза увагою». Умови перевірки листів повинні враховувати всі проблеми, ризики та загрози, які можуть існувати в організації, яка використовує систему електронної пошти. 2. Адекватність - це здатність систем контролю вмісту якомога повніше втілювати словесно сформульовану політику використання електронної пошти, мати всі необхідні засоби реалізації написаних людьми правил у зрозумілі системі умови фільтрації. 274 До інших найбільш загальним вимогамвідносяться: 3. Текстовий аналіз електронної пошти - аналіз ключових слівта виразів за допомогою вбудованих словників. Ця можливістьдозволяє виявити та своєчасно запобігти витоку конфіденційної інформації, встановити наявність забороненого змісту, зупинити розсилку спаму, а також передачу інших матеріалів, заборонених політикою безпеки. При цьому якісний аналіз тексту повинен припускати морфологічний аналіз слів, тобто система повинна мати можливість генерувати та визначати різноманітні граматичні конструкції слова. Ця функція набуває великого значення у зв'язку з особливостями російської мови, в якій слова мають складні граматичні конструкції. 4. Контроль відправників та одержувачів повідомлень електронної пошти. Ця можливість дозволяє фільтрувати поштовий трафік, тим самим реалізуючи деякі функції міжмережевого екрануу поштовій системі. 5. Розбір електронних листів на компоненти, що їх складають (MIME-заголовки, тіло листа, прикріплені файли тощо), усунення «небезпечних» вкладень і подальший збір компонентів листа воєдино, причому з можливістю додавати до повідомлення електронної пошти необхідні для адміністраторів безпеки елементи (наприклад, попередження про наявність вірусів або забороненого тексту у змісті листа). 6. Блокування або затримка повідомлень великого розміру до того моменту, коли канал зв'язку буде найменше завантажений (наприклад, у неробочий час). Циркуляція в поштовій мережі компанії таких повідомлень може призвести до перевантаження мережі, а блокування або відкладена доставка дозволить цього уникнути. 7. Розпізнавання графічних, відео та звукових файлів. Як правило, такі файли мають великий розмір, і їхня циркуляція може призвести до втрати продуктивності мережевих ресурсів. Тому здатність розпізнавати та затримувати дані типи файлів дозволяє запобігти зниженню ефективності роботи компанії. 8. Обробка стиснених/архівних файлів. Це дає можливість перевіряти стислі файлина вміст у них заборонених матеріалів. 9. Розпізнавання файлів, що виконуються. Як правило, такі файли мають великий розмір і рідко стосуються комерційної діяльності компанії. Крім того, виконувані файлиє основним джерелом зараження вірусами, що передаються електронною поштою. Тому здатність розпізнавати та затримувати дані типи файлів дозволяє запобігти зниженню ефективності роботи компанії та уникнути зараження системи. 10. Контроль та блокування спаму. Циркуляція спаму призводить до перевантаження мережі та втрати робочого часу співробітників. Функція контролю та блокування спаму дозволяє зберегти мережеві ресурси та запобігти 275 зниження ефективності роботи компанії. Основними способами захисту від спаму є: перевірка імен доменів та IP-адрес джерел розсилки спаму за списками, запит на вказану адресу відправника (блокування у разі відсутності відповіді), текстовий аналіз спам-повідомлення на наявність характерних слів та виразів у заголовках електронної пошти (from /subject), перевірка заголовків на відповідність специфікації RFC-822 і т.п. 11. Здатність визначати кількість вкладень у повідомленнях електронної пошти. Пересилання електронного листа з великою кількістю вкладень може призвести до перевантаження мережі, тому контроль за дотриманням певних політикою інформаційної безпеки обмежень на кількість вкладень забезпечує збереження ресурсів корпоративної мережі. 12. Контроль та блокування програм-закладок (cookies), шкідливого мобільного коду (Java, ActiveX, JavaScript, VBScript і т.д.), і навіть файлів, здійснюють автоматичну розсилку (звані «Automatic Mail-to»). Ці види вкладень є вкрай небезпечними та призводять до витоку інформації з корпоративної мережі. 13. Категоризація ресурсів поштової системи компанії («адміністративний», «відділ кадрів», «фінанси» тощо) та розмежування доступу співробітників компанії до різних категорій ресурсів мережі (в т.ч. та в залежності від часу доби). 14. Реалізація різних варіантів реагування, у тому числі: видалення або тимчасове блокування повідомлення; затримка повідомлення та поміщення його в карантин для подальшого аналізу; "лікування" зараженого вірусом файлу; повідомлення адміністратора безпеки або іншого адресата про порушення політики безпеки тощо. 15. Можливість модифікації даних, що передбачає, наприклад, видалення неприйнятних вкладень та заміну їх на тексти заданого змісту. Така можливість дозволить адміністратору видаляти із листів прикріплені файли, тип яких заборонено політикою безпеки компанії. До таких типів можуть належати виконувані, відео та звукові файли, що не мають відношення до діяльності компанії. А це, зрештою, дозволить уникнути зараження мережі вірусами та домогтися від співробітників продуктивного використання поштового сервісу. 16. Ведення повнофункціонального архіву електронної пошти, здатного забезпечити зберігання в режимі онлайн великої кількості електронної пошти з високим рівнем доступності даних. На підставі інформації, що зберігається в архіві, можливо проводити подальший аналіз поштового потоку компанії, коригувати роботу системи, здійснювати аналіз інцидентів, пов'язаний зі зловживанням співробітниками компанії поштовим сервісом і т.п. 276 На Мал. 18.15 представлено послідовність роботи типової системи контролю вмісту електронної пошти. Схема обробки повідомлення, як правило, включає наступні етапи: рекурсивна декомпозиція електронного листа; аналіз вмісту електронного листа; "категоризація" електронного листа (віднесення до певної категорії); дію над листом за наслідками присвоєння категорії. Мал. 18.15 - Схема обробки повідомлення системою контролю вмісту електронної пошти 18.4.6 Принципи функціонування систем контролю вмісту електронної пошти Кожен електронний лист, що потрапляє до системи, повинен перевірятися на відповідність заданим умовам. При цьому щонайменше повинні виконуватися такі умови відбору листів: - умови на поштові заголовки; 277 - умови на структуру листа (наявність, кількість та структура вкладень); - Умови на типи вкладень (MS Office, що виконуються, архіви і т.п. ); - умови на вміст (текст) листів та вкладень; - Умови на результат обробки листа. Крім того, система повинна дозволяти аналізувати поштові повідомлення за всіма їх складовими: атрибутами конверта, заголовками повідомлення, MIME-заголовками, тілом повідомлення, приєднаними файлами. 18.4.6.1 Категоризація листів та фільтрація спаму Розглянемо питання категоризації листів. Важливо відзначити, що гнучкість при фільтрації поштових повідомлень є особливо необхідною, коли це стосується такої проблеми, як спам. Одним із головних критеріїв вибору системи контролю вмісту електронної пошти в даний час є якраз її здатність якомога якісніше справлятися з цією проблемою. Існує чотири основні методики визначення, яке лист відноситься до спаму, а яке ні. 1. Виявлення спаму за наявністю в листі певних ознак, таких як наявність ключових слів або словосполучень, характерне написання теми листа (наприклад, усі великі літери та велика кількість знаків оклику), а також специфічна адресна інформація. 2. Визначення адреси відправника та її приналежності до, так званих, «чорних списків» поштових серверів Open Relay Black List (ORBL). У ці списки заносяться ті сервери, які помічені в масових розсилках спаму і ідея полягає в тому, щоб взагалі не приймати та не транслювати пошту, яка виходить із цих серверів. 3. Спільне використання методик з фільтрації за певними ознаками та проїєркою «чорних списків». За продуктивністю мало чим відрізняється від двох перших. Результати тестування добре налаштованого фільтра із застосуванням обох методик показують, що зі 100% спам-повідомлень виявляється лише 79,7%. При цьому було виявлено значний відсоток хибних спрацьовувань, а це означає, що до спаму було віднесено звичайні листи (1,2% від затриманих листів), а це загрожує для компанії втратою важливої ​​інформації. Неякісний поділ спаму та звичайних листів обумовлений, у тому числі і деякою «однобокістю» стандартних фільтрів. При відбраковуванні листів враховуються «погані» ознаки та не враховуються «хороші», характерні для корисного листування. 4. автоматичне налаштування фільтрів відповідно до особливостей індивідуального листування, а при обробці облік ознак як «поганих», 278 так і «хороших» фільтрів. Ця четверта методика, запропонована американським програмістом та підприємцем Полом Гремом. Методика ґрунтується на теорії ймовірностей та використовує для фільтрації спаму статистичний алгоритм Байєса. За оцінками, цей метод боротьби зі спамом є дуже ефективним. Так, у процесі випробування через фільтр було пропущено 8000 листів, половина з яких була спамом. В результаті система не змогла розпізнати лише 0,5% спам-повідомлень, а кількість помилкових спрацьовувань фільтра виявилася нульовою. Вимогу повного розбирання листа під час вирішення завдання категоризації слід доповнити вимогою стійкості. - По-перше, система має бути стійкою по відношенню до обробки листів з некоректною структурою. Структура листа підпорядковується певним правилам. Розбір листа на складові ґрунтується на застосуванні цих правил до конкретного листа. Можливі випадки, коли поштова програма автора листа формує лист із порушенням цих правил. У цьому випадку лист не може бути коректно розібраний. - По-друге, система повинна надійно визначати типи файлів-вкладень. Під "надійністю" мається на увазі визначення, не засноване на імені файлу, а також на інформації, що вписується в лист поштовим клієнтом при прикріпленні файлу (mime-type). Така інформація може бути недостовірною або в результаті свідомих спроб обдурити систему контролю, або в результаті неправильних налаштувань поштової програмивідправника. Безглуздо забороняти пересилання файлів типу JPEG, якщо файл picture.jpg після перейменування на page.txt пройде непоміченим. - По-третє, система повинна забезпечувати повноту перевірок, що проводяться, тобто високу кількість і різноманітність критеріїв аналізу електронної пошти. При цьому система повинна здійснювати фільтрацію за будь-якими атрибутами повідомлень, за обсягом повідомлень та вкладених файлів, за кількістю та типом вкладень, за глибиною вкладеності, а також вміти аналізувати вміст прикріплених файлів незалежно від того, чи є ці файли стислими або архівними. Істотною перевагою багатьох продуктів є можливість створення власного сценарію обробки електронних листів. При аналізі тексту необхідно мати можливість працювати з нормалізованими словоформами тощо. 279 18.4.6.2 Реалізація політики використання Розглянемо не окремі правила, а все безліч правил, що становлять політику. Будь-яка реалістична політика складається з безлічі правил, які, природно, об'єднуються в групи. Очевидно, що правила для вихідної пошти відрізняються від правил для вхідної, правила керівництва компанії - від правил для рядових співробітників і т.д. Більше того, оскільки правила застосовуються до письма у певній послідовності, хотілося б, щоб ця послідовність була логічною та могла залежати від результатів аналізу листа. Все це разом призводить до вимоги «прозорості»: правила, задані в системі, повинні «читатися» як правила, написані природною мовою, зрозумілою людині. Все сказане вище стосувалося аналізу листа. Однак сам собою аналіз нічого не дає. За його результатами лист повинен бути віднесений до якоїсь категорії (безпечний, важливий, невирішений тощо). Якщо така категоризація проведена, то можна говорити про будь-які дії щодо проаналізованого листа, наприклад, доставити його адресату, заблокувати, і т.д. Інакше кажучи, необхідна можливість задавати системі правила, якими вона обробляє листи. Мал. 18.16 - Фільтрування по всіх компонентах листа 280

Опис політики

Ця політика визначає допустиме використання електронної пошти (email) у компанії.

Галузь застосування

Ця політика є частиною корпоративного менеджменту компанії та поширюється на всі корпоративні поштові системи.

Політика використання електронної пошти

Вступ

Електронна поштаодин із найважливіших засобів комунікації у діловому світі. Повідомлення швидко і зручно передаються внутрішніми мережами та всім світом через інтернет. Тим не менш, існують ризики при веденні бізнесу за допомогою електронної пошти, оскільки електронна пошта по суті небезпечна, особливо за межами корпоративної мережі. Повідомлення можуть бути перехоплені, записані, прочитані, змінені та перенаправлені будь-кому, а іноді просто пропасти. Випадкові коментарі можуть бути зрозумілі неправильно та призвести до порушення контрактів або судових розглядів.

Основні принципи

А. Користувачі електронної пошти повинні уникати діяльності, що порушують інформаційну безпеку.

Б. Корпоративна електронна пошта повинна використовуватись у межах посадових обов'язків. Усі повідомлення електронної пошти в інформаційних системах та мережах вважаються власністю компанії.

Вимоги політики

1. Не використовуйте електронну пошту:

Для надсилання конфіденційної/секретної інформації, якщо вона не зашифрована криптографічним ПЗ, дозволеним до використання в компанії;

Для створення, надсилання, пересилання або зберігання повідомлень або вкладень, які можуть вважатися незаконними або образливими простими людьми, наприклад, матеріали сексуального характеру, расистські, дискредитуючі, образливі, непристойні, зневажливі, дискримінаційні, загрозливі, турбуючі або інші подібні повідомлення;

Для встановлення відносин з третіми сторонами, наприклад, для укладення контрактів на купівлю або продаж, надсилання пропозицій про роботу або прайс-листів, якщо це не входить до ваших службових обов'язків. Не змінюйте та не видаляйте повідомлення, що автоматично вставляються в кінці листів;

В особистих та благодійних цілях, не пов'язаних з бізнесом організації;

Образом, який може бути інтерпретований як офіційна позиція чи висловлювання організації;

Щоб надіслати повідомлення з чужої поштової скриньки або від чужого імені (включаючи використання підробленого поля «ВІД»). Якщо це дозволено керівництвом, секретар може надіслати листа від імені співробітника, підписавши лист власним ім'ям, вказавши за чиєю дорученням його було відправлено.

Для розсилки будь-яких підривних, образливих, неетичних, незаконних чи інакше неприпустимих матеріалів, включаючи образливі коментарі з приводу раси, статі, кольору, інвалідності, віці, сексуальної орієнтації, порнографії, тероризму, релігійних переконань та вірувань, політичних переконань, політичних переконань або інших посилань на непристойні або очевидно образливі веб-сайти та подібні матеріали, жарти, масові розсилки, попередження про віруси та розіграші, звернень про допомогу, віруси або інше зловмисне програмне забезпечення;

У будь-яких інших незаконних, неетичних та недозволених цілях.

2. Виявляйте професійну розсудливість під час використання електронної пошти. Дотримуйтесь звичайних правил етикету під час роботи з електронною поштою (див. Правила безпеки електронної пошти). Ретельно перевіряйте повідомлення перед відправкою, особливо під час спілкування із зовнішніми контрагентами.

3. Не розкривайте без потреби можливо непублічну інформацію в повідомленнях, що йдуть за межі компанії.

4. Повідомлення електронної пошти автоматично скануються в інформаційних системах на наявність шкідливих програм, спаму та нешифрованої службової чи особистої інформації. На жаль, процес сканування недостатньо ефективний (наприклад, стислі та шифровані повідомлення не можуть бути повністю проскановані), тому небажана/сумнівна пошта іноді потрапляє до користувачів. Видаляйте ці повідомлення або повідомляйте про них у службу підтримки.

5. Співробітники не повинні перехоплювати, ігнорувати, змінювати, видаляти, зберігати або публікувати повідомлення, крім випадків, санкціонованих керівництвом або з метою адміністрування ІТ систем.

6. Обмежене використання корпоративної електронної пошти дозволяється під відповідальність керівництва, враховуючи, що це має випадковий та непостійний характер і не заважає виконанню посадових обов'язків. Всі повідомлення, що надсилаються в корпоративних системах та мережах, піддаються автоматичному скануванню та можуть бути поміщені в карантин та/або переглянуті уповноваженими співробітниками.

7. Не використовуйте веб-сервіси Gmail, Hotmail, Yahoo або схожі поштові системи третіх сторін (зазвичай звані вебмайл) у службових цілях. Не надсилайте та не надсилайте корпоративну електронну пошту на зовнішні поштові системи/системи третіх сторін. Ви можете користуватися власною поштовою скринькою з використанням корпоративних систем під відповідальність посібника з урахуванням, що цей вид використання пошти вкрай обмежений і не вважається особистим використанням (див. вище).

8. Раціонально підходите до числа та розміру повідомлень які ви надсилаєте та зберігаєте. Періодично очищайте вашу поштову скриньку, видаляючи старі повідомлення, які більше не потрібні і переміщуючи необхідні повідомлення до відповідних поштових папок. Надсилайте важливі листи до архіву відповідно до політики архівування пошти.

Відповідальність

Управління інформаційної безпеки відповідає за дотримання вимог цієї політики. Будучи в тісному зв'язку з іншими бізнесовими функціями управління відповідальне за освітню діяльність, що має на меті підвищити рівень обізнаності та розуміння відповідальності, зазначеної в даній політиці.

Департамент ІТ відповідає за організацію, конфігурування, використання та обслуговування обладнання для роботи з електронною поштою (включаючи антиспам, антивірус та інші фільтри) у відповідність до цієї політики.

Служба ІТ підтримки відповідає за допомогу співробітникам у використанні електронної пошти та є центральним пунктом збору повідомлень про інциденти з використанням електронної пошти.

Усі співробітники, які стосуються реальної політики, несуть відповідальність дотримання цієї та інших корпоративних політик. Ця політика також стосується співробітників третіх організацій, які працюють у тих самих умовах незалежно від того, пов'язані вони з політикою інформаційної безпеки компанії явно (наприклад, особливими пунктами контрактів) або не явно (наприклад, загальноприйнятими нормами поведінки).

Компанія має право оцінки виконання вимог цієї політики у будь-який час.

Відповідність політик, стандартів та правил

Контакти

За подальшою інформацією щодо цієї політики та дотримання вимог інформаційної безпеки в цілому, звертайтесь до менеджера з інформаційної безпеки. Різні стандарти, процедури, правила та інші матеріали щодо цієї та інших політик інформаційної безпеки знаходяться у довіднику з інформаційної безпеки організації, на корпоративному інтранет-сайті та у менеджера з інформаційної безпеки. Співробітники департаменту ІТ та інформаційної безпеки також можуть надати підтримку при застосуванні цієї політики, звертайтеся до свого начальника або служби техпідтримки.

Засіб захисту - система контролю вмісту електронної пошти, сама по собі жодних завдань із безпеки не вирішує. Це лише «машина», яка допомагає людині у вирішенні цієї проблеми.Тому завдання щодо забезпечення безпеки необхідно такій «машині» поставити. Це означає, що має бути вироблено спеціальне зведення правил, який надалі буде перекладено мовою машини. Таке зведення правил називається «політикою використання електронної пошти».

У багатьох організаціях такі правила вже існують довгий час. Як і будь-яка обмежувальна міра, вони створюють певні незручності користувачам системи, а якщо користувачеві щось незручно, він або перестає користуватися цим, або намагається обійти перешкоди. Тому такі політики, не підкріплені технічними засобами контролю над їх виконанням, поступово втрачають силу - сайт. Програмні системи, орієнтовані на фільтрацію пошти, слід позиціонувати саме як інструмент для впровадження та контролю виконання цих правил.

Таким чином, політика використання електронної пошти – це закріплені письмово і доведені до співробітників інструкції та інші документи, що регламентують їхню діяльність та процеси, пов'язані з використанням системи електронної пошти. Дані документи та інструкції мають юридичний статус і, як правило, надаються для ознайомлення співробітникам організації.

Політика використання електронної пошти є найважливішим елементом загальнокорпоративної політики інформаційної безпеки та невіддільна від неї. Політика має відповідати наступним критеріям:

- бути лаконічно викладеною та зрозумілою всім співробітникам компанії, простота написання не повинна призвести до втрати юридичного статусу документа;
- виходити з необхідності захисту у процесі економічної діяльності підприємства;
- бути узгодженою з іншими організаційними політиками компанії (що регламентують фінансову, економічну, юридичну та інші сфери діяльності компанії – сайт);
- Мати законну силу, тобто. політика, як документ, має бути схвалена та підписана всіма посадовими особами керівної ланки компанії, а її виконання має бути детально продумано;
- не суперечити федеральним та місцевим законам;
- визначати заходи на співробітників, які порушили положення цієї політики;
- Дотримуватися балансу між ступенем захищеності інформації та продуктивністю діяльності компанії;
- детально визначати заходи щодо забезпечення політики використання електронної пошти у компанії.

Політика використання електронної пошти, зазвичай, розглядається з двох сторін - як офіційно оформлений юридичний документ і як матеріал, який описує техніку реалізації політики. Як документ вона має включати:

1. Положення, що електронна пошта є власністю компанії і може бути використана лише з робочою метою.
2.Вказівка ​​те що, що застосування корпоративної системи електронної пошти має суперечити законодавству РФ і положенням політики безпеки.
3. Інструкції та рекомендації щодо використання та зберігання електронної пошти.
4. Попередження про потенційну відповідальність співробітників компанії за зловживання при використанні електронної пошти в особистих цілях та можливе використання електронної пошти в судових та службових розглядах.
5. Письмове підтвердження того, що співробітники компанії ознайомлені з політикою використання електронної пошти та погоджуються з її положеннями.

Положення про використання електронної пошти (базовий комплект)

1. Загальні положення

1.1. Це Положення встановлює порядок використання електронної пошти в ІС "ВАША ОРГАНІЗАЦІЯ"(Далі Організація).

1.2. Дія цього Положення поширюється на працівників Організації, підрядників та третю сторону.

2.Основні терміни, скорочення та визначення

1. Адміністратор ІС- технічний спеціаліст, що забезпечує введення в експлуатацію, підтримку та подальший виведення з експлуатації ПЗ.
2. АРМ- автоматизоване робоче місце користувача ( персональний комп'ютерз прикладним ПЗ) для виконання певної виробничої задачі.
3. ІБ- інформаційна безпека - комплекс організаційно-технічних заходів, що забезпечують конфіденційність, цілісність та доступність інформації.
4. ІС - інформаційна системаОрганізації - система, що забезпечує зберігання, обробку, перетворення та передачу інформації Організації з використанням комп'ютерної та іншої техніки.
5. ІТ - інформаційні технології- сукупність методів та процесів, що забезпечують зберігання, обробку, перетворення та передачу інформації Організації з використанням засобів комп'ютерної та іншої техніки.
6. Паспорт ПК- Документ, що містить повний перелік обладнання та програмного забезпечення АРМ.
7. ПК- персональний комп'ютер.
8. ПЗ- Програмне забезпечення обчислювальної техніки.
9. ПО шкідливе- ПЗ або зміни до ПЗ, що призводять до порушення конфіденційності, цілісності та доступності інформації.
10. ПО комерційне- ПЗ сторонніх виробників(правовласників). Надається у користування на відплатній (платній) основі.
11. Користувач- працівник Організації, який використовує електронну пошту для виконання своїх посадових обов'язків.
12. Поштовий клієнт- ПЗ, що входить до складу АРМ користувача ІВ, призначене для отримання, написання, надсилання та зберігання повідомлень електронної пошти.
13. Поштовий сервер- сервер електронної пошти – ПЗ, що здійснює обробку та передачу поштових повідомлень між АРМ ІС Організації, а також загальнодоступних мереж – Інтернет.
14. Організація - "ВАША ОРГАНІЗАЦІЯ".
15. Відправник- працівник Організації, який здійснює пересилання електронних повідомлень одержувачу за допомогою електронної пошти.
16. Одержувач- працівник Організації, якому адресовано електронне повідомлення, що надсилається відправником за допомогою електронної пошти.
17. Реєстр- Документ «Реєстр дозволеного до використання ПЗ». Містить перелік комерційного програмного забезпечення, дозволеного для використання в Організації.
18. Третя сторона- особа чи організація, яка вважається незалежною стосовно "ВАША ОРГАНІЗАЦІЯ".
19. Електронний документ- Документ, в якому інформація представлена ​​в електронно-цифровій формі.
20. Електронна пошта- сервіс обміну електронними повідомленнями у рамках ІС Організації (внутрішня електронна пошта) та загальнодоступних мереж Інтернет (зовнішня електронна пошта).
21. Електронна поштова скринька- персональний простір на поштовому сервері, в якому зберігаються електронні повідомлення.
22. Електронне поштове повідомлення - повідомлення, яке формується відправником за допомогою поштового клієнта та призначене для передачі одержувачу за допомогою електронної пошти.

3. Порядок використання електронної пошти

3.1. Електронна пошта використовується для обміну в рамках ІС Організації (внутрішня електронна пошта) та загальнодоступних мереж (зовнішня електронна пошта) службовою інформацієюу вигляді електронних повідомлень та документів у електронному вигляді.

3.2. Для забезпечення функціонування електронної пошти допускається застосування комерційного ПЗ, що входить до Реєстру, дозволеного до використання ПЗ та зазначеного в Паспорті ПК.

3.3. Забезпечення функціонування сервісу електронної пошти здійснюється спеціалістами відділу ІТ.

3.4. Доступ працівників Організації до внутрішньої електронної пошти надається за умови підключення АРМ до ІС Організації. Доступ працівників Організації до зовнішньої електронної пошти надається при підключенні АРМ до Інтернету.

3.5. При використанні електронної пошти необхідно:

• 3.5.1. Дотримуватись вимог цього Положення.
• 3.5.2. Використовувати електронну пошту виключно для виконання своїх службових обов'язків.
• 3.5.3. Перед надсиланням повідомлення перевіряти правильність введеної електронної адреси одержувача.
• 3.5.4. Доповідати адміністраторам ІС про будь-які факти порушення вимог цього Положення.

3.6. Під час використання електронної пошти заборонено:

• 3.6.1. Використовувати електронну пошту в особистих цілях.
• 3.6.3. Надсилати електронні повідомлення, що містять:
  • 3.6.3.1. Конфіденційну інформацію, а також інформацію, що становить комерційну таємницю, за винятком випадків, коли це входить до службових обов'язків відправника та спосіб передачі є безпечним, погодженим з адміністраторами ІС заздалегідь.
  • 3.6.3.2. Інформація, повністю або частково, захищена авторськими або іншими правами, без дозволу власника.
  • 3.6.3.3. Інформацію, файли або ПЗ, здатні порушити або обмежити функціональність будь-яких програмних та апаратних засобів, а також здійснити несанкціонований доступ, а також посилання на вказану вище інформацію.
  • 3.6.3.4. Погрозливу, наклепницьку, непристойну інформацію, а також інформацію, що ображає честь та гідність інших осіб, матеріали, що сприяють розпалюванню національної ворожнечі, підбурюють насильство, закликають до здійснення протиправної діяльності тощо.
• 3.6.4. Перейти за посиланнями та відкривати вкладені файли вхідних електронних повідомлень, отриманих від невідомих відправників.
• 3.6.5. З власної ініціативи здійснювати розсилку (зокрема і масову) електронних повідомлень (якщо розсилання пов'язані з виконанням службових обов'язків).
• 3.6.6. Використовувати адресу електронної пошти для оформлення підписки на періодичну розсилку матеріалів з Інтернету, не пов'язаних з виконанням службових обов'язків.
• 3.6.7. Публікувати свою електронну адресу або електронну адресу інших працівників Організації на загальнодоступних Інтернет-ресурсах (форуми, конференції тощо).
• 3.6.8. Надавати працівникам Організації (за винятком адміністраторів ІС) та третім особам доступ до своєї електронної поштової скриньки.
• 3.6.9. Шифрувати електронні повідомлення без попереднього узгодження з адміністраторами ІС.
• 3.6.10. Перенаправляти електронні повідомлення з особистих поштових скриньокна корпоративне.

3.7. Організація залишає за собою право доступу до електронних повідомлень працівників з метою їхнього архівування та централізованого зберігання, а також моніторингу виконання вимог цього Положення.

3.8. За підозри працівника Організації у нецільовому використанні електронної пошти ініціалізується службова перевірка, що проводиться комісією, склад якої визначається Керівником Організації.

3.9. За фактом з'ясованих обставин складається акт розслідування інциденту та передається Керівнику структурного підрозділу для вжиття заходів згідно з локальними нормативними актами Організації та чинним законодавством. Акт розслідування інциденту та відомості про вжиті заходи підлягають передачі до відділу ІТ.

3.10. Усі електронні повідомлення та документи в електронному вигляді, що передаються за допомогою електронної пошти, підлягають обов'язковій перевірці на відсутність шкідливого ПЗ.

4. Вимоги до оформлення електронного повідомлення

4.1. Під час оформлення електронного повідомлення необхідно заповнювати такі поля:

• адреса одержувача;
• тема електронного повідомлення;
• текст електронного повідомлення (при необхідності можуть бути вкладені різні файли);
• підпис відправника.

4.2. Формат підпису відправника:

З повагою,<фамилия имя> <должность> <структурное подразделение Организации> <наименование Организации> <адрес> <номера телефонов, мессенжеры, адреса электронной почты> <сайт>

4.3. У поштовому клієнтуіснує можливість створення підпису та автоматичної вставки її в електронне повідомлення. За потреби можна створити кілька підписів для різних одержувачів.

4.4. Під час формування відповідей на отримані електронні повідомлення можна використовувати спрощений підпис.

5. Відповідальність

5.1. Працівники, які порушили вимоги цього Положення, несуть відповідальність відповідно до чинного законодавства та локальних нормативних актів Організації.

6. Внесення змін та доповнень

6.1. Зміни та доповнення до цього Положення вносяться працівниками відділу ІТ за вказівкою начальника відділу та після погодження з Керівниками служб Організації затверджуються наказом Керівника Організації.

6.2. Усі зміни та доповнення цього Положення набирають чинності з моменту їх затвердження.